近期，网络安全领域发生了一起严重的黑客攻击事件，至少35个Chrome扩展被黑客劫持。此次攻击的目标包括了知名网络安全公司Cyberhaven的扩展，显示出攻击者的技术手段相当高明。

攻击始于2024年12月5日，黑客通过精心设计的钓鱼邮件，冒充Google发送警告，声称开发者的Chrome扩展违反了Chrome Web Store的政策，可能会被移除。邮件中包含一个看似合法的“政策违规”链接，实则指向一个钓鱼网站，目的是诱骗开发者交出对Chrome扩展的控制权。

攻击中使用的网络钓鱼电子邮件

这些钓鱼邮件使用了诸如supportchromestore.com、forextensions.com、chromeforextension.com等域名，模仿Google的官方通知，诱使开发者点击链接并授权一个名为“Privacy Policy Extension”的恶意OAuth应用。这个应用请求权限管理Chrome Web Store扩展，一旦授权，攻击者就能通过受害者的账户发布恶意更新。

恶意身份验证请求

Cyberhaven在事后的分析中指出，即使员工开启了Google Advanced Protection并有多重身份验证（MFA），但在OAuth授权流程中并未触发MFA提示，导致攻击者得以绕过这些安全措施。攻击者一旦获得权限，就会在扩展中注入恶意文件，如‘worker.js’和‘content.js’，这些文件包含窃取Facebook账户数据的代码。

权限审批提示

受影响的扩展被重新发布到Chrome Web Store，而用户在不知情的情况下安装了这些恶意更新。攻击者的目标是Facebook商业账户，他们试图通过窃取的用户数据进行直接支付、散布虚假信息或将访问权限出售给他人。

此次事件再次提醒开发者和用户，网络安全威胁无处不在，即使是专业的安全公司也可能成为攻击目标。用户需要保持警惕，及时更新软件，避免点击不明链接。